Configurar seguridad de la autenticación
Prerrequisito
- Acceso al menú Configuración > Autenticación (CM008).
Introducción
Configurar correctamente las contraseñas y el login de los usuarios es fundamental para garantizar la seguridad de la información de la empresa.
Un proceso de autenticación robusto protege los datos confidenciales de los accesos no autorizados, evita el fraude y garantiza que solo los usuarios con los debidos permisos puedan acceder a determinadas funciones del sistema, manteniendo la integridad de las operaciones y el cumplimiento de los estándares de seguridad.
Utilizando SoftExpert Configuración, es posible configurar las contraseñas e ingresar a SoftExpert Suite.
Vea cómo realizar estos ajustes:
Configurar seguridad de la autenticación
1. Acceda al menú Configuración > Autenticación (CM008).
2. Seleccione la pestaña Seguridad.
3. Efectúe todas las configuraciones necesarias:
Control de contraseñas
En esta sección, es posible establecer controles sobre las contraseñas de los usuarios del sistema.
Solicitar validación de contraseña: si esta opción está habilitada, en la ejecución de tareas de los componentes de SoftExpert Suite, será solicitada la confirmación de la validación de contraseña del usuario ejecutor.
Solicitar validación de contraseña del usuario al realizar operaciones críticas en el sistema: si esta opción está habilitada, al realizar acciones como la de excluir, activar o desactivar registros y otras tareas críticas, será exigido que el usuario informe su validación de contraseña antes que el sistema las ejecute.
Permitir que los usuarios soliciten contraseña olvidada: si se habilita esta opción, en la pantalla de login aparecerá la opción ¿Se olvidó la contraseña? para que el usuario pueda solicitarla si la olvida.
Para que los recursos de solicitud de validación de contraseña funcionen correctamente, los usuarios registrados en el sistema deben tener una validación de contraseña informada en su pantalla de datos.
Forzar cambio de contraseña de los usuarios: este botón solo debe ser accionado cuando sea necesario cambiar la contraseña de todos los usuarios registrados en SoftExpert Suite. Con eso, en el próximo login de cada usuario, el sistema solicitará la modificación de la contraseña.
Solo el usuario administrador del sistema puede efectuar esta operación.
Seguridad de la contraseña
En esta sección, se deben configurar las opciones que puedan hacer más seguras las contraseñas de los usuarios.
Como en cualquier sistema, las contraseñas son la primera línea de defensa contra el acceso no autorizado. Cuánto más fuerte sea la contraseña, más protegido estará el sistema.
Para hacerlo, utilice las opciones disponibles para definir los requisitos obligatorios para las contraseñas de los usuarios del sistema.
Tamaño mínimo: permite definir una cantidad mínima de caracteres que debe tener cada usuario en su contraseña. Al intentar registrar una contraseña con menos caracteres que el estipulado, el sistema emitirá un mensaje que advierte que no se ha cumplido con la cantidad de caracteres. La contraseña del usuario debe tener al menos 6 dígitos.
Validez (meses): permite establecer la cantidad de meses durante los cuales los usuarios del sistema pueden mantener la misma contraseña. Al final de este período, el usuario será notificado de que su contraseña ha caducado y se le pedirá que la cambie.
Control de repetición: permite definir la cantidad de veces que el usuario debe cambiar la contraseña antes de que se pueda repetir su contraseña anterior.
Caracteres en mayúsculas y minúsculas: con esta opción habilitada, las contraseñas de los usuarios del sistema deben, obligatoriamente, contener letras mayúsculas y minúsculas.
Caracteres especiales (por ejemplo, !, \\$, #, %): con esta opción habilitada, las contraseñas de los usuarios del sistema deben, obligatoriamente, contener caracteres especiales (!, $, #, %, etc.).
Requisitos obligatorios de contraseña:
- La contraseña debe tener al menos un número y una letra.
- La contraseña no debe contener los caracteres "\\" y "\/".
- La contraseña no debe contener una de las siguientes combinaciones: "sesuite", "53suite", "53su1te", "s3su1t3", "s35u1t3", "soft", "5oft", "S0ft", "50ft", "expert", "3xpert", "3xp3rt", "softexpert", "5oftexpert", "50ftexpert", "50ft3xpert" y "50ft3xp3rt".
- La contraseña no debe contener fragmentos de más de 4 dígitos del login, nombre de usuario o correo electrónico.
- La contraseña no debe estar en la lista de contraseñas consideradas débiles dentro de SoftExpert Suite.
Si se introduce una contraseña considerada débil, el sistema mostrará un mensaje informando acerca de los requisitos que debe cumplir la contraseña.
Bloquear usuario después de intento no válido de login
En esta sección, se deben configurar las opciones para impedir el acceso no autorizado debido a intentos de adivinar la contraseña de un usuario del sistema.
Número de intentos: permite establecer el número de veces que el usuario puede intentar iniciar sesión con una contraseña incorrecta, antes de ser bloqueado. Para hacerlo, introduzca el número de intentos deseado, que puede ser de 1 a 5 veces.
El usuario puede ser desbloqueado automáticamente (si el campo Tiempo por el cual el usuario quedará bloqueado está rellenado), o manualmente, a través del menú Estructura organizativa > Usuario (AD004) de SoftExpert Administración.
Tiempo por el cual el usuario quedará bloqueado (minutos): llene este campo para definir que, al ser bloqueado por intentos no válidos de login, el usuario sea desbloqueado automáticamente después de un período determinado.
En este caso, introduzca el número de minutos durante los cuales el usuario permanecerá bloqueado. Cuando transcurran los minutos informados, será desbloqueado automáticamente.
Notificar administrador: con esta opción habilitada, el usuario administrador del sistema será notificado por correo electrónico cuando un usuario sea bloqueado debido a intentos de login no válidos.
Diversos
En esta sección, están disponibles diversas opciones relacionadas con el inicio de sesión de los usuarios:
Alertar al administrador al identificar un login desconocido: en caso de que se produzca un intento de inicio de sesión con un usuario desconocido, el sistema enviará un correo electrónico al administrador, alertando sobre quién ha intentado iniciar sesión.
Bloquear operaciones manuales en el registro de usuario: en el menú Registro > Estructura organizativa > Usuario (AD004) de SoftExpert Administración, el botón Incluir aparecerá deshabilitado. Solo será posible registrar usuarios mediante la integración con el servidor LDAP.
Tiempo límite de inactividad (minutos): permite estabelecer la cantidad de minutos durante los cuales el sistema puede permanecer inactivo; es decir, sin ser utilizado por el usuario conectado. Una vez transcurrido el tiempo especificado, el usuario será desconectado automáticamente y aparecerá un mensaje solicitando que vuelva a conectarse.
• El llenado del campo es obligatorio. Para los usuarios que no tienen límite de tiempo de inactividad, el sistema determinará automáticamente el valor de 30 minutos como tiempo de inactividad del usuario.
• Aunque el sistema siempre está configurado con un límite de tiempo de inactividad, existen particularidades en cada componente que pueden alterar el funcionamiento de esta regla.
Por ejemplo, cuando se visualiza un archivo electrónico y la ventana permanece abierta, SoftExpert Suite envía pings constantes para evitar que se produzca inactividad, manteniendo activa la visualización.
Sincronizar login: el usuario será sincronizado desde el momento de su autentificación. Este campo solo debe seleccionarse si una de las opciones de autenticación LDAP está habilitada. Tenga en cuenta que solo el usuario autenticado será sincronizado.
Autenticación Multifator (MFA)
En esta sección, es posible configurar la autenticación por múltiples factores, garantizando la identidad del usuario que accede a la aplicación.
La autenticación multifactor (MFA) es un método de autenticación que requiere que un usuario proporcione dos o más factores de verificación para tener acceso a un recurso o aplicación, lo que disminuye la probabilidad de éxito de un ciberataque.
A partir de la versión 2.2.1, el uso de MFA (Multi-Factor Authentication) es obligatorio para todos los clientes que utilizan la versión Shared Cloud de SoftExpert Suite y que no utilizan SSO (Single Sign-On).
Para aquellos que utilizan la versión on-premise de SoftExpert Suite o un servidor dedicado, la decisión de habilitar o no la MFA es responsabilidad de cada cliente.
MFA proporciona una capa adicional de autenticación al proceso de inicio de sesión, requiriendo que se proporcione más de un factor de autenticación para acceder a su cuenta. De esta manera, incluso si las credenciales de login se ven comprometidas, un atacante no podrá acceder a la cuenta del usuario sin la combinación correcta de factores de autenticación adicionales.
Este recurso refuerza la seguridad de la información del usuario en el sistema, ofreciendo mejores prácticas de protección y privacidad.
Al habilitar el MFA, será necesario completar el campo de e-mail correctamente en los datos del usuario, ya que este campo será obligatorio.
Consulte el tema Configuración de Autenticación Multifator (MFA) para más detalles.
Conclusión
Así, usted podrá configurar correctamente las contraseñas y el login de los usuarios en el sistema, garantizando la seguridad de las informaciones registradas.